Sikkerhetsrevisjon 2025 av cure53
Sikkerhet har alltid vært kjernen i det vi gjør hos Psono. Derfor er vi glade for å dele resultatene fra vår nyeste sikkerhetsrevisjon, utført av det anerkjente cybersikkerhetsfirmaet Cure53. Deres omfattende white-box penetrasjonstest og kildekoderevisjon fokuserte på Psono nettlesertilleggene (Chrome, Firefox, Edge), vår backend-API og relaterte endepunkter.
“App-omfattende bruk av PyNaCl sikrer effektiv datahåndtering og kryptografi.”
— Cure53 Sikkerhetsrapport, mars 2025
Hva revisjonen dekket
Revisjonen, som strakk seg over fire dedikerte arbeidsoppgaver (WP-er), evaluerte både klientside- og serverside-komponenter av Psono:
- WP1–WP3: Chrome-, Firefox- og Edge-utvidelser
- WP4: Backend-API og endepunkter
Teamet fra Cure53 fikk full tilgang til vår kildekode, dokumentasjon og interne ressurser. I løpet av tolv dager vurderte deres fem-personers team nøye sikkerheten til vår infrastruktur.
Funn og utbedringer
Totalt ble det identifisert åtte sikkerhetsrelaterte problemer, som varierer fra lav til høy alvorlighetsgrad:
- 0 Kritiske alvorlighetsproblemer
- 1 Problem med høy alvorlighetsgrad
- 3 Problemer med middels alvorlighetsgrad
- 4 Problemer med lav alvorlighetsgrad eller diverse problemer
Alle sårbarheter er allerede fikset og verifisert av Cure53. Der det er hensiktsmessig, har vi implementert ytterligere tiltak som CSP-er (innholdssikkerhetspolicyer), protokollvalidering, avhengighetsoppgraderinger, og sikrere autofyllatferd.
Du kan lese den fullstendige listen over funn, inkludert detaljerte tekniske innsikter og utbedringsnotater, i den offentlige versjonen av Cure53-rapporten som er lenket nedenfor.
Hvorfor dette er viktig
Å være åpen om våre sikkerhetspraksiser bidrar til å styrke tilliten våre brukere har til Psono. Åpen kildekode-prosjekter drar stor nytte av offentlig granskning—og vi ønsker det velkommen.
Vi er stolte av at rapporten anerkjenner styrken i våre eksisterende sikkerhetstiltak. Særlig bemerkelsesverdig er det at mange av de identifiserte problemene hadde sin påvirkning redusert etter design, gjennom mekanismer som API-nøkler tilgangskontroller og streng håndhevelse av CSP.
Last ned hele rapporten
Du kan lese hele Cure53-rapporten her:
